Redcap

Uma campanha de espionagem atribuída ao grupo UNC6508, vinculado à China, comprometeu servidores expostos da plataforma REDCap, utilizada em pesquisas médicas e científicas. Os pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que a invasão ocorreu em setembro de 2023 e se estendeu por mais de um ano, com a implementação do malware InfiniteRed, que foi projetado especificamente para sistemas REDCap. Este malware possui três componentes principais: um módulo de persistência, um coletor de credenciais e uma porta dos fundos. O coletor captura nomes de usuário e senhas, armazenando-os em tabelas de banco de dados locais. Além disso, os atacantes utilizaram uma técnica inovadora para exfiltrar dados, criando uma regra de conformidade de conteúdo que enviava informações sensíveis por e-mail. O GTIG recomenda que administradores do REDCap atualizem suas versões e implementem autenticação multifator (MFA) para proteger contas de alto privilégio. O incidente destaca a necessidade de vigilância constante e atualização de sistemas para evitar compromissos semelhantes.